電子商務(wù)安全技術(shù)研究

摘要：對電子商務(wù)的各種安全威脅，從安全要素、安全控制技術(shù)以及安全協(xié)議等方面闡述了電子商務(wù)的安全問題。

關(guān)鍵詞：電子商務(wù) 加密算法 智能卡 CA認(rèn)證

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1002－2422(2008)03－0004－02

1 電子商務(wù)的安全要素

保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵，由于In—ternet本身的開放性，使電子商務(wù)系統(tǒng)面臨著各種安全威脅。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

(1)有效性，電子商務(wù)系統(tǒng)應(yīng)有效防止系統(tǒng)延遲和拒絕服務(wù)情況的發(fā)生，要對網(wǎng)絡(luò)故障和病毒等所產(chǎn)生的潛在威脅加以控制和預(yù)防，保證交易數(shù)據(jù)在確定的時(shí)刻、地點(diǎn)是有效的。

(2)保密性，電子商務(wù)系統(tǒng)應(yīng)及時(shí)對傳輸信息進(jìn)行加密處理，防止交易中信息被非法截獲或讀取。

(3)完整性，電子商務(wù)系統(tǒng)應(yīng)防止對交易信息的隨意改動(dòng)、丟失和重復(fù)，并保證信息傳遞次序的統(tǒng)一。

(4)可靠性、不可抵賴性和可鑒別性，電子商務(wù)系統(tǒng)應(yīng)提供交易雙方的身份鑒別機(jī)制，確保交易雙方身份信息是可靠和合法的，保證交易各方對已做交易無法抵賴。

2 電子商務(wù)系統(tǒng)的安全控制技術(shù)

2.1加密技術(shù)

加密技術(shù)是電子商務(wù)的最基本安全措施，通常加密技術(shù)分為對稱加密和非對稱加密兩類。

對稱密鑰加密采用相同的加密算法，并只交換共享的專用密鑰。常用的對稱加密算法有DES、PCR、IDEA、3DES等。其中DES使用最普遍，被ISO采用作為數(shù)據(jù)加密標(biāo)準(zhǔn)。

非對稱加密的密鑰被分解為公開密鑰和私有密鑰。密鑰生成后，公開密鑰以非保密方式對外公開，只對應(yīng)于生成該密鑰的發(fā)布者，私有密鑰則保存在密鑰發(fā)布方手里。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公開密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公開密鑰相應(yīng)對的私有密鑰進(jìn)行解密。常用的非對稱加密算法RSA已被ISO推薦為非對稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。

2.2安全認(rèn)證技術(shù)

認(rèn)證的實(shí)現(xiàn)包括智能卡、數(shù)字簽名和數(shù)字證書技術(shù)等。

(1)智能卡，是一種智能集成電路卡，包括CPU、E2PROM、RAM、ROM和COS(Chip Operating System)。不但提供讀寫數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的能力，而且還具有對數(shù)據(jù)進(jìn)行處理的能力，可以實(shí)現(xiàn)對數(shù)據(jù)的加密和解密，能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名，智能卡在電子商務(wù)系統(tǒng)中有無法比擬的優(yōu)勢。私人密鑰和電子證書保存于智能卡不允許外讀的存儲(chǔ)單元中，因此比起將它們保存于PC機(jī)上，其安全性大大提高了，使身份識別更有效、安全。智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證的首選技術(shù)。

(2)數(shù)字簽名，是非對稱機(jī)密技術(shù)中的一種技術(shù)，其主要方式為報(bào)文發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值，并用自己的專用密鑰對這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名；其將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方；報(bào)文接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值，接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可否認(rèn)性。

(3)數(shù)字憑證，又稱為數(shù)字證書，是用電子手段來證實(shí)一個(gè)用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。在網(wǎng)上的電子交易中。交易雙方需出示各自的數(shù)字憑證，并用它來進(jìn)行交易操作。數(shù)字證書的使用涉及到數(shù)字認(rèn)證中心CA(Certificate Authority)。

(4)CA認(rèn)證，在電子商務(wù)系統(tǒng)中是具有權(quán)威性、公正性、可信任的第三方，CA負(fù)責(zé)為用戶簽發(fā)證書，提供身份認(rèn)證服務(wù)，是整個(gè)系統(tǒng)的安全核心。CA只負(fù)責(zé)審核用戶的真實(shí)身份并對此提供證明，而不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題，而且CA只需管理每個(gè)用戶的一個(gè)公開密鑰，大大降低了密鑰管理的復(fù)雜性。這些優(yōu)點(diǎn)使得非對稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。

3 電子商務(wù)安全協(xié)議

3.1安全套接層協(xié)議SSL

SSL(Secure SocketLayer)協(xié)議位于運(yùn)輸層和應(yīng)用層之間，由SSL記錄協(xié)議(SSL Record Protocol)、SSL握手協(xié)議(SSL Handshake Protocol)和SSL警報(bào)協(xié)議(SSL AlterProtocol)組成的。SSL握手協(xié)議在客戶機(jī)與服務(wù)器開始傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制；SSL記錄協(xié)議對應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓縮、計(jì)算鑒別碼(MAC)，經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對方；SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯(cuò)信息。

但是SSL協(xié)議只是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易客戶與服務(wù)器之間的雙方認(rèn)證，而電子商務(wù)交易往往涉及到用戶、網(wǎng)站、銀行三方，所以SSL協(xié)議并不能完全協(xié)調(diào)各方的安全傳輸和信任關(guān)系。

3.2安全電子交易協(xié)議SET

SET(Secure Electronic Transation)用于劃分與界定電子商務(wù)活動(dòng)中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機(jī)密性、數(shù)據(jù)的完整性、身份的合法性。SET協(xié)議位于應(yīng)用層，通過信息加密來保證機(jī)密性，實(shí)現(xiàn)付款數(shù)據(jù)私有化和訂貨信息與付款信息、傳送的保密化。

SET協(xié)議是目前唯一保證信用卡信息能安全可靠地通過因特網(wǎng)傳輸?shù)男聟f(xié)議。為在Internet上進(jìn)行安全的電子商務(wù)活動(dòng)提供了一個(gè)開放的標(biāo)準(zhǔn)，為Internet上支付交易提供高層的安全和反欺詐保證。SET協(xié)議為基于信用卡進(jìn)行電子交易的應(yīng)用提供了安全措施，保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的，其認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。

4 結(jié)束語

(1)制定專門的電子商務(wù)法，對當(dāng)事人的權(quán)利義務(wù)、電子合同法律關(guān)系、電子簽名、電子認(rèn)證、電子支付、知識產(chǎn)權(quán)保護(hù)等問題作出規(guī)范。

(2)把電子商務(wù)發(fā)展的自主性、安全性要求與認(rèn)證機(jī)構(gòu)的行業(yè)特點(diǎn)有效地結(jié)合起來。

(3)在立法上，必須考慮到國內(nèi)法律、國際條約與行業(yè)慣例，使將來的電子商務(wù)法適應(yīng)國際貿(mào)易發(fā)展的需要。